简单的生活,更少的期待,更多的付出。

如果读者在大学期间学习过操作系统相关课程,并且没有在课堂上睡着的话。那么可能知道,监视器(monitor)是操作系统中用于实现同步(synchronization)机制非常重要的基础数据结构。幸运的是,Java中对于同步(synchronization)机制的实现,同样是基于监视器。本文将使用类比的方式来讲述Java中同步(synchronization)机制的基础:监视器(monitor)。

阅读全文 »

native2ascii.exe 是 Java 的一个文件转码工具,是将特殊各异的内容 转为 用指定的编码标准文体形式统一的表现出来,它通常位于 JDK_home\bin 目录下,安装好 Java SE 后,可在使用 native2ascii 命令进行转码。
阅读全文 »

解决思路,在struts filter之前提前触发该错误,避免进入执行ognl
阅读全文 »

HTML5中password属性autocomplete="off"。Content-Security-Policy:default-src 'self'。X-Content-Type-Options:nosniff。X-XSS-Protection:1。Strict-Transport-Security:max-age=31536000。403改为404,可在filter中自写wrapper,重写sendError。
阅读全文 »

1. 在Filter或其他位置中设置reponse.setHeader("Set-Cookie",cookieValue)。2. 在Servlet 3.0及以上中在web.xml中配置session-config中cookie-config的属性。
阅读全文 »

跨域脚本攻击 XSS(Cross Site Scripting) 是最常见、危害最大的网页安全漏洞。

为了防止它们,要采取很多编程措施,非常麻烦。很多人提出,能不能根本上解决问题,浏览器自动禁止外部注入恶意脚本?

这就是”网页安全政策”(Content Security Policy,缩写 CSP)的来历。本文详细介绍如何使用 CSP 防止 XSS 攻击。

阅读全文 »

解决filter中读取request中的inputStream后,不能再次获取流进行操作的问题。使用wrapper,例如一个自建类继承HttpServletRequestWrapper。
阅读全文 »

IE设置代理时,需全局代理。Brup证书要安装到根证书。仍HTTPS握手失败可能需要下载不受限的JCE。
阅读全文 »

HTTPS,是HTTP over SSL的意思,就是在HTTP明文通道的基础上,增加一层SSL加密通道,SSL协议提供了对服务器的身份认证。
阅读全文 »